WLAN系統(tǒng)原理介紹.ppt

WLAN系統(tǒng)原理介紹 北京邦訊技術(shù)有限公司2010 7 交流提綱 WLAN發(fā)展介紹WLAN網(wǎng)絡(luò)結(jié)構(gòu)WLAN安全架構(gòu)WLAN協(xié)議介紹 交流提綱 WLAN發(fā)展介紹WLAN是什么WLAN大事記WLAN標(biāo)準(zhǔn)族WLAN網(wǎng)站 WLAN是什么 WPAN 無線個域網(wǎng)采用無線連接的個人局域網(wǎng) 它被用在諸如手機(jī) 計算機(jī) PDA之間的小范圍 一般是在10米以內(nèi) 通訊 WPAN的技術(shù)包括藍(lán)牙 ZigBee 紅外等 其中藍(lán)牙應(yīng)用最廣泛 WLAN 無線局域網(wǎng)一般應(yīng)用于家庭 企業(yè)和熱點覆蓋 覆蓋半徑幾十米到幾百米 提供PC和手機(jī)高速上網(wǎng) 無線局域網(wǎng)采用Wi Fi技術(shù) 速率可到達(dá)幾十Mbps 使用方式與有線局域網(wǎng)一樣 簡單易用 WLAN 無線城域網(wǎng)提供城市范圍的無線覆蓋 用于進(jìn)行城市范圍內(nèi)的寬帶無線數(shù)據(jù)傳輸 無線城域網(wǎng)采用WiMax技術(shù) 覆蓋半徑幾公里到幾十公里 速率可達(dá)到幾十Mbps WPAN WLAN WMAN 藍(lán)牙 Wi Fi WiMax WLAN是什么 WLAN WirelessLocalAreaNetwork廣義的WLAN 是指通過無線通信技術(shù)將計算機(jī)設(shè)備互聯(lián)起來 構(gòu)成通信網(wǎng)絡(luò) 狹義的WLAN 是指采用IEEE802 11無線技術(shù)進(jìn)行互連的通信網(wǎng)絡(luò) 目前的WLAN一般指802 11無線網(wǎng)絡(luò) IEEE802 11 是國際電工電子委員會 InstituteofElectricalandElectronicsEngineers 下負(fù)責(zé)WLAN標(biāo)準(zhǔn)制定的工作組 Wi Fi WirelessFidelity是最大的WLAN工業(yè)組織Wi Fi聯(lián)盟 Wi FiAlliance 的商標(biāo) 該組織致力于對WLAN設(shè)備進(jìn)行兼容性認(rèn)證測試 Wi Fi是指Wi Fi聯(lián)盟認(rèn)證 通過認(rèn)證的產(chǎn)品 可以使用Wi Fi的LOGO 通常 Wi Fi作為WLAN的同義詞使用 盡管并非所有WLAN設(shè)備都進(jìn)行Wi Fi認(rèn)證 WLAN WLAN大事記 WLAN標(biāo)準(zhǔn)化 IEEE802 111990年 IEEE802 11標(biāo)準(zhǔn)工作組成立1997年 IEEE802 11標(biāo)準(zhǔn)發(fā)布 2Mbit s 工作在2 4GHz 1999年 IEEE802 11a標(biāo)準(zhǔn)發(fā)布 54Mbit s 工作在5GHz 1999年 IEEE802 11b標(biāo)準(zhǔn)發(fā)布 11Mbit s工作在2 4GHz 2003年 IEEE802 11g標(biāo)準(zhǔn)發(fā)布 54Mbit s 工作在2 4GHz 2007年 IEEE802 11ndraft2發(fā)布 300Mbit s 工作在2 4GHz 5 8GHz WLAN產(chǎn)業(yè)化 Wi FiAlliance1999年 WirelessEthernetCompatibilityAlliance WECA 成立 后來WECA更名為Wi FiAlliance Wi Fi聯(lián)盟 現(xiàn)總部設(shè)在美國德州 成員單位超過300個 2000年 Wi Fi聯(lián)盟啟動了Wi Fi認(rèn)證計劃 Wi FiCERTIFIED 對WLAN產(chǎn)品進(jìn)行802 11兼容性認(rèn)證測試 2007年 Wi Fi聯(lián)盟啟動IEEE802 11ndraft2認(rèn)證測試 2008年截止 累計超過4000種WLAN設(shè)備通過Wi Fi認(rèn)證 Wi FiCERTIFIED 2008年底 累計超過10億的Wi Fi芯片出貨量 2012年 預(yù)計Wi Fi芯片的年出貨量達(dá)到10億 WLAN標(biāo)準(zhǔn)族 主要的IEEE802 11標(biāo)準(zhǔn) IEEE802 11a 54Mbit s 5GHzstandard 1999 shippingproductsin2001 IEEE802 11b Enhancementsto802 11tosupport5 5and11Mbit s 1999 IEEE802 11d International country to country roamingextensions 2001 IEEE802 11e Enhancements QoS includingpacketbursting 2005 IEEE802 11g 54Mbit s 2 4GHzstandard backwardscompatiblewithb 2003 IEEE802 11h SpectrumManaged802 11a 5GHz forEuropeancompatibility 2004 IEEE802 11i Enhancedsecurity 2004 IEEE802 11j ExtensionsforJapan 2004 WLAN標(biāo)準(zhǔn)族 主要的IEEE802 11標(biāo)準(zhǔn) IEEE802 11k Radioresourcemeasurementenhancements 2008 IEEE802 11n HigherthroughputimprovementsusingMIMO multipleinput multipleoutputantennas November2009 IEEE802 11p WAVE WirelessAccessfortheVehicularEnvironment suchasambulancesandpassengercars working 2009 IEEE802 11r FastroamingWorking TaskGroupr 2008 IEEE802 11s MeshNetworking ExtendedServiceSet ESS working Jul 2010 IEEE802 11T WirelessPerformancePrediction WPP testmethodsandmetricsRecommendation 2008 IEEE802 11y 3650 3700MHzOperationintheU S 2008 WLAN標(biāo)準(zhǔn)族 IEEE802 11a b g n制式的比較 WLAN標(biāo)準(zhǔn)族 Wi Fi強(qiáng)制認(rèn)證 Wi Fi產(chǎn)品無線認(rèn)證 802 11a b g單模認(rèn)證 802 11b g雙模認(rèn)證 802 11a b g多頻段 2 4G和5G 認(rèn)證 本認(rèn)證目前是手持設(shè)備CTIA認(rèn)證的一部分 Wi Fi無線網(wǎng)絡(luò)安全認(rèn)證 包括WPA WPA2認(rèn)證 EAP ExtensibleAuthenticationProtocol 認(rèn)證 EAP是一種網(wǎng)絡(luò)設(shè)備身份認(rèn)證的安全機(jī)制 Wi Fi可選認(rèn)證 下一代Wi Fi認(rèn)證 IEEE802 11ndraft2 0無線標(biāo)準(zhǔn)認(rèn)證 Wi FiProtectedSetup認(rèn)證 快速完成安全配置的功能認(rèn)證 Wi FiMultimedia認(rèn)證 無線QoS認(rèn)證 WMMPowerSave認(rèn)證 語音和多媒體業(yè)務(wù)時省電功能的認(rèn)證測試 Wi Fi手機(jī)認(rèn)證 對Wi Fi手機(jī)中Wi Fi與蜂窩系統(tǒng)的相互影響進(jìn)行認(rèn)證 Wi Fi認(rèn)證標(biāo)準(zhǔn) WLAN網(wǎng)站 IEEE802 11官方網(wǎng)站 http www ieee802 org 11 Wi Fi聯(lián)盟官方網(wǎng)站 http www wi fi org Wi Fi論壇 http www wi 交流提綱 WLAN網(wǎng)絡(luò)結(jié)構(gòu)802 11 802Infrastructure網(wǎng)絡(luò)Adhoc網(wǎng)絡(luò)Mesh網(wǎng)絡(luò)胖 瘦APWDS 802 11 802 IEEE802 11 包括物理層和MAC層協(xié)議 Infrastructure網(wǎng)絡(luò) BSS BSS BasicServiceSet 網(wǎng)絡(luò)BSS是WLAN網(wǎng)絡(luò)的基本單位 包括一個基站 AP 和若干個終端 STA 通訊必須通過AP來完成 網(wǎng)絡(luò)標(biāo)識 BSSID 使用AP的MAC地址 Infrastructure網(wǎng)絡(luò) ESS ESS ExtendedServiceSet 網(wǎng)絡(luò)由多個BSS組成 多個BSS的AP通過DS DistributionSystem 網(wǎng)絡(luò)互聯(lián) 終端能在不通BSS之間漫游 網(wǎng)絡(luò)標(biāo)識 SSID AP上統(tǒng)一配置的一個字符串 Adhoc網(wǎng)絡(luò) IBSS IndependentBasicServiceSet 網(wǎng)絡(luò)若干Wi Fi站點之間對等 臨時的組網(wǎng) 俗稱adhoc網(wǎng)絡(luò) 站點之間地位平等 兩兩進(jìn)行通訊 網(wǎng)絡(luò)標(biāo)識 BSSID 自動選擇某個站點的MAC地址作為ID Mesh網(wǎng)絡(luò) Mesh網(wǎng)絡(luò)是infrastructure網(wǎng)絡(luò)和adhoc網(wǎng)絡(luò)的結(jié)合既支持AP的功能 又能通過adhoc完成多個BSS互聯(lián)和回傳 Mesh網(wǎng)絡(luò) IEEE802 11s ESSMeshNetworking標(biāo)準(zhǔn)進(jìn)展 因技術(shù)分歧大 需求不緊迫 進(jìn)展緩慢2004年7月 成立11s標(biāo)準(zhǔn)工作組2006年3月 通過第一個提案預(yù)計2010年底 通過11s標(biāo)準(zhǔn)網(wǎng)絡(luò)組成 由MP MAP STA LWMP組成 構(gòu)成ESSMP MESH點 只有MESH回傳功能的站點MAP MESH接入點 除了MP功能外 又有AP功能 能接入Wi Fi終端 的站點STA Wi Fi終端LWMP 輕量MESH點 一般是移動的MESH站點 也可稱作MESH終端 網(wǎng)絡(luò)標(biāo)識 用接入SSID和回傳SSID分別標(biāo)識接入網(wǎng)絡(luò)和回傳網(wǎng)絡(luò) 胖AP 瘦AP 對不同組網(wǎng)方式下AP的通俗叫法 沒有嚴(yán)格的定義 胖AP FatAP 能夠獨(dú)立配置 管理和工作的AP設(shè)備 橋接型AP 僅完成Wi Fi終端接入 以及無線與有線之間的二層橋接功能 企業(yè)中多采用這種方法 作為企業(yè)有線網(wǎng)絡(luò)的延伸 路由型AP 完成Wi Fi終端的接入之外 還提供DHCP NAT路由和PPP撥號等功能 一般用在家庭或簡單的熱點覆蓋 又叫無線路由器 瘦AP ThinAP 多個瘦AP與接入控制器 AC 協(xié)同提供Wi Fi接入服務(wù) AC一般完成集中交換 鑒權(quán)和管理 以及外部互聯(lián) FitAP 一些廠家對自己瘦AP的叫法 各廠家AP與AC的功能劃分有所差異 無線交換機(jī) 早期的AC 從有線交換機(jī)演變而來 與瘦AP通過以太網(wǎng)連接 接入控制器 AC 對瘦AP及其業(yè)務(wù)流進(jìn)行集中管理 控制 并完成與外部網(wǎng)絡(luò)互聯(lián)的網(wǎng)關(guān)設(shè)備 AP與AC之間通過TCP IP專用的隧道進(jìn)行互聯(lián) 大部分支持AC AP組網(wǎng)的AP都具有胖瘦轉(zhuǎn)換能力 胖AP 瘦AP 胖APvs瘦AP 胖AP 成本低 部署快 適合小規(guī)模 安全要求不高的網(wǎng)絡(luò) 瘦AP 可管理性好 安全性好 適合大規(guī)?；蜻\(yùn)營性質(zhì)的網(wǎng)絡(luò) 成本低 安全性差 可管理性差 胖AP特性 布設(shè)簡單 擴(kuò)展性好 安全性高 可管理性好 可運(yùn)營 瘦AP特性 網(wǎng)絡(luò)級協(xié)調(diào) 胖AP 瘦AP CAPWAP協(xié)議 AP與AC之間的交互協(xié)議草案 由IETFCAPWAP工作組負(fù)責(zé) http www ietf org html charters capwap charter html 標(biāo)準(zhǔn)還在制定中 WTP WirelessTerminationPoint 無線端結(jié)點 就是指瘦AP AC AccessController 接入控制器 CAPWAP協(xié)議主要定義以下功能 1 發(fā)現(xiàn) WTP自動發(fā)現(xiàn)AC的機(jī)制 2 配置 AC通過CAPWAP對WTP進(jìn)行配置 WTP可以做到零配置 3 軟件版本管理 AC可自動更新WTP的軟件 4 集中交換 用戶數(shù)據(jù)集中在AC上進(jìn)行交換 5 無線資源管理 AC進(jìn)行全網(wǎng)的無線參數(shù)優(yōu)化 AC WTP STA Intranet Internet Wi Fi CAPWAP TCP IP WDS WDS WirelessDistributionSystem 802 11中定義了DS 用于將多個AP互聯(lián)的有線網(wǎng)絡(luò) WDS則是無線DS 通過無線方式將多個AP互聯(lián)起來 WDS數(shù)據(jù)幀采用4地址格式 包括接收地址 發(fā)送地址 目的地址 源地址 RA TA DA SA WDS優(yōu)點 部網(wǎng)快速 靈活 成本低 沒有有線網(wǎng)絡(luò)情況下 使用WDS快速部網(wǎng)將已有的有線DS互聯(lián)的網(wǎng)線網(wǎng)絡(luò) 通過WDS進(jìn)行延伸覆蓋WDS缺點 1 安全性差 只能使用WEP 2 性能差 接入和DS共享信道 WDS AP工作模式 除了標(biāo)準(zhǔn)的功能外 很多AP支持其他工作模式 包括Client ClientBridge WDS Repeater和RepeaterBridge模式 Client模式 Client作為STA連接AP 用戶通過有線連接Client Client進(jìn)行NAT轉(zhuǎn)發(fā) Client模式 Client作為STA連接AP 用戶通過有線連接Client Client進(jìn)行二層的橋接 WDS AP工作模式 除了標(biāo)準(zhǔn)的功能外 很多AP支持其他工作模式 包括Client ClientBridge WDS Repeater和RepeaterBridge模式 WDS模式 WDSAP同時支持STA接入和WDS互聯(lián) 業(yè)務(wù)由WDSAP進(jìn)行橋接轉(zhuǎn)發(fā) WDS AP工作模式 除了標(biāo)準(zhǔn)的功能外 很多AP支持其他工作模式 包括Client ClientBridge WDS Repeater和RepeaterBridge模式 Repeater模式 Repeater作為STA連接AP 同時作為AP允許STA接入 業(yè)務(wù)由Repeater進(jìn)行NAT轉(zhuǎn)發(fā) RepeaterBridge模式 Repeater作為STA連接AP 同時作為AP允許STA接入 業(yè)務(wù)由Repeater進(jìn)行二層橋接轉(zhuǎn)發(fā) 交流提綱 WLAN安全架構(gòu)什么是WLAN安全WEPWPA WPA2WAPI 什么是WLAN安全 WLAN安全性 與其它通信網(wǎng)絡(luò)的安全性含義類似 包括鑒權(quán) 私密性和完整性 鑒權(quán) Autentication 一般都指雙向鑒權(quán) 網(wǎng)絡(luò)對接入的用戶進(jìn)行身份確認(rèn) 同時用戶對接入的網(wǎng)絡(luò)也進(jìn)行身份確認(rèn) 實現(xiàn)合法用戶接入合法網(wǎng)絡(luò) 有時候也叫 鑒別 驗證 認(rèn)證 私密性 Privacy 指數(shù)據(jù)包的加解密 確保通信內(nèi)容不能被偷聽 完整性 Integrity 在數(shù)據(jù)包中附加加密的校驗字節(jié) 確保通信內(nèi)容沒有被篡改 安全架構(gòu) 為達(dá)到安全目的設(shè)計的相關(guān)結(jié)構(gòu) 管理和操作方式 良好的安全架構(gòu)設(shè)計能夠滿足安全要求的同時做到容易部署和管理 WEP WEP WiredEquivalentPrivacy 已被淘汰的一種WLAN安全算法 1999年成為WLAN安全標(biāo)準(zhǔn) 2001年被徹底破解 2003年被WPA替代 現(xiàn)在依然在WLAN產(chǎn)品中廣泛支持 鑒權(quán) OpenSystem 不鑒權(quán) SharedKey 四次握手過程進(jìn)行鑒權(quán) 加密 采用RC4流加密算法 密鑰長度為64 128位 完整性 使用CRC 32算法 WEP WEP SharedKey鑒權(quán) WEP WEP 幀格式 WEP WEP 加密流程 WEP WEP 解密流程 WEP WEP安全缺陷 嚴(yán)重的安全缺陷導(dǎo)致WEP最終被廢棄 WEP鑒權(quán)缺陷OpenSystem 不鑒權(quán) 則容易被利用進(jìn)行DOS攻擊 SharedKey 握手過程中出現(xiàn)了明文 密文對 嚴(yán)重?fù)p壞保密性 實際上 其安全性不如OpenSystem WEP加密缺陷 現(xiàn)在的研究表明流加密算法的安全性是比較低的 WEP中的RC4算法更加脆弱 初始向量碰撞 24位的IV很容易重復(fù) 這是流加密算法的大忌 完整性檢查太簡單 采用CRC 32來進(jìn)行校驗 容易被攻擊者用來猜測明文內(nèi)容 RC4算法缺陷 RC4生成的密碼流中部分bit隨機(jī)性不好 容易被攻擊者利用 沒有密鑰管理 無密鑰動態(tài)生成 分發(fā)和更新流程合法用戶之間不保密 合法用戶使用相同的key 相互之間相當(dāng)于不保密 固定密鑰不安全 這樣密碼容易泄漏 同時留給攻擊者無限的破解時間 WEP破解工具 利用這些工具能在幾分鐘內(nèi)破解WEP密碼 AirSnort WEPCrack WPA WPA2 WPA Wi FiProtectedAccess 因為WEP的嚴(yán)重安全漏洞 IEEE制定了802 11i來替代WEP WPA是Wi Fi聯(lián)盟基于IEEE802 11i技術(shù)標(biāo)準(zhǔn)制定的商業(yè)標(biāo)準(zhǔn) 分WPA WPA2 其主要差別在于WPA2增加了對CCMP的支持 WPA 2002年 Wi Fi聯(lián)盟以已經(jīng)完成TKIP的IEEE802 11idraft3 為基準(zhǔn) 制定了WPA 是一個過渡性的中間標(biāo)準(zhǔn) WPA2 2004年 Wi Fi聯(lián)盟以完成的IEEE802 11i標(biāo)準(zhǔn)為基準(zhǔn) 制定了WPA2 TKIP 前向兼容WEP硬件 依然采用了RC4作為加密算法 還是存在安全性漏洞 CCMP 采用了AES加密算法 徹底解決WLAN全性問題 也稱作AES或AES CCMP WRAP 另一種加密協(xié)議 因?qū)＠麢?quán)爭議 成為可選項 事實上已被廢棄 WPA WPA2 WPA 2 WPA 2 PSK WPA 2 PSK WPA的簡化版本 以預(yù)設(shè)的密碼 PreSharedKey 驗證替代WPA的IEEE802 1X EAP驗證 不需要驗證服務(wù)器AS 如 RADIUS服務(wù)器 這種方式方便了使用 但降低了安全性 但認(rèn)為用于家庭等小規(guī)模網(wǎng)絡(luò)足夠安全 WPA 2 Enterprise WPA 2 Personal 一些設(shè)備廠商的叫法 WPA Enterprise就是指標(biāo)準(zhǔn)的WPA WPA Personal就是指WPA PSK AS AP STA WPA WPA Enterprise AP STA WPA PSK WPA Personal WPA WPA2 TKIP TemporalKeyIntegrityProtocol 802 11i定義的一種基于WEP安全算法RC4 改進(jìn)WLAN網(wǎng)絡(luò)安全的協(xié)議 TKIP相對WEP的改進(jìn) 引入802 1x EAP鑒權(quán) 引入了終端和網(wǎng)絡(luò)的雙向鑒權(quán) 而WEP中幾乎沒有鑒權(quán) 密鑰分發(fā)和更新機(jī)制 通過802 1x機(jī)制 每次會話使用不同的基本密鑰 每包密鑰構(gòu)建機(jī)制 加密密鑰由基本密鑰 MAC地址 包序號動態(tài)生成 每包數(shù)據(jù)加密時 均采用不同的密鑰 增加了加密強(qiáng)度 使用48位初始向量 使用了48位包序號作為初始向量 因為48位可認(rèn)為永不重復(fù) 可抵御重放攻擊 Michael消息完整性檢查碼 解決WEP中數(shù)據(jù)包容易被篡改的漏洞 TKIP的缺點 TKIP設(shè)計時要求兼容WEP硬件 因此沿用了WEP的RC4加密算法 本質(zhì)不安全 因為RC4算法已經(jīng)被破解 這決定了TKIP本質(zhì)上依然是不安全的 已有破解實踐 詳細(xì)破解方法 可參見MartinBeck ErikTews PracticalattacksagainstWEPandWPA WPA WPA2 TKIP 幀格式 WPA WPA2 TKIP 加密流程 WPA WPA2 TKIP 解密流程 WPA WPA2 CCMP 802 11i定義的一種必選的加密協(xié)議 使用AES算法 用于提高WLAN網(wǎng)絡(luò)安全 也叫AES或CCMP AES CCMP與TKIP比較 主要的差別就是采用了AES塊加密算法 塊長128位 密鑰長度128位 報文加密 密鑰管理 消息完整性校驗都使用AES算法 AES AdvancedEncryptionStandard 2001年成為美國政府的加密標(biāo)準(zhǔn) 用于取代DES 該標(biāo)準(zhǔn)采用了由兩個比利時人發(fā)明的Rijndael塊加密算法 采用了128位的塊長度 128 192 156位密鑰長度 進(jìn)行10 12 14輪迭代 安全性 美國政府認(rèn)為其安全性滿足政府要求保密數(shù)據(jù)的加密要求 破解情況 對于AES中的加密算法本身 目前還沒有發(fā)現(xiàn)破解方法 已有的成功的攻擊方式都是旁道攻擊 需要利用加密算法運(yùn)算的相關(guān)的信息 如 計算時間 且只能完成對降階AES算法的攻擊 如 降低迭代次數(shù) WPA WPA2 CCMP 幀格式 WPA WPA2 CCMP 加密流程 WPA WPA2 CCMP 解密流程 WPA WPA2 802 11i框架 TKIP和CCMP是以算法為核心的加密協(xié)議 實現(xiàn)通信的私密性和完整性 802 1X實現(xiàn)基于端口的接入認(rèn)證 KeyManagement完成TKIP CCMP的密鑰生成和管理 TKIP CCMP 802 1x KeyManagement 802 11i 802 1x鑒權(quán) WPA WPA2 802 11i框架 802 1x定義了基于端口控制的三元鑒權(quán)結(jié)構(gòu) 并定義了EAPOL 用于承載EAP鑒權(quán)協(xié)議 EAP ExtensibleAuthenticationProtocol 定義了認(rèn)證流程和框架 具體認(rèn)證方法可擴(kuò)展 PEAP是使用最廣泛的認(rèn)證方法 使用鑒權(quán)生成的主密鑰MK 生成CCMP TKIP密鑰 用于空口的加密 802 11 EAPOL RADIUS 安全通道 EAP PEAP EAP TLS EAP SIM 802 11 CCMP TKIP 802 11iKeyManagement 業(yè)務(wù)網(wǎng)絡(luò) 802 11i 加密 WPA WPA2 802 1x框架 三元結(jié)構(gòu) 鑒權(quán)在終端和鑒權(quán)服務(wù)器之間進(jìn)行 AP僅進(jìn)行協(xié)議轉(zhuǎn)發(fā) 業(yè)務(wù)端口為受控端口 初始處于關(guān)閉狀態(tài) 鑒權(quán)通過后打開 終端可使用該業(yè)務(wù)端口 鑒權(quán)完成后 終端與鑒權(quán)服務(wù)器協(xié)商生成主密鑰MK 該主密鑰由鑒權(quán)服務(wù)器分發(fā)給AP STAAPRadiusServer WPA WPA2 802 1x EAPOL 802 1x定義了EAPOL協(xié)議 用于在LAN WLAN上承載EAP協(xié)議 EAPOL使用LLC SNAP來封裝EAP協(xié)議 AA AA 03 00 00 00 88 8E ProtocolVersion 1byte PacketType 1byte PacketBodyLength 2bytes PacketBody nbytes WPA WPA2 802 11i操作流程 階段一 STA和AP利用關(guān)聯(lián)流程完成安全策略的協(xié)商 階段二 STA與鑒權(quán)服務(wù)器AS之間完成802 1x認(rèn)證 并生成主密鑰MK 階段三 AS給AP分發(fā)主密鑰MK STA AP之間根據(jù)MK生成點播 多播臨時密鑰 PTK GTK 階段四 TKIP CCMP使用PTK GTK進(jìn)行安全的數(shù)據(jù)收發(fā) WPA PSK流程 階段一 相同階段二 無階段三 使用PSK作為PMK 其他相同階段四 相同 WPA WPA2 802 11i操作流程 階段一 關(guān)聯(lián)過程 STA通過Probe流程 或偵聽Beacon 獲得AP的安全策略信息 進(jìn)行OpenSystem方式的鑒權(quán) 進(jìn)行關(guān)聯(lián)流程 STA將自己的安全策略告知AP 協(xié)商達(dá)成一致后 則關(guān)聯(lián)成功 安全策略的內(nèi)容包括 鑒權(quán)方法 802 1xorPSK 單播 多播加密協(xié)議 TKIPorCCMP WPA WPA2 802 11i操作流程 階段二 802 1x鑒權(quán) AP觸發(fā) 啟動802 1x EAP認(rèn)證過程 認(rèn)證過程在STA與AS之間進(jìn)行 AP負(fù)責(zé)協(xié)議轉(zhuǎn)發(fā) STA與AS之間認(rèn)證流程與選擇的EAP認(rèn)證方法有關(guān)系 AS可同時支持多種認(rèn)證方法 認(rèn)證成功后 STA和AS生成了主密鑰MK AS通過RADIUS將MK分發(fā)給AP WPA WPA2 802 11i操作流程 階段三 密鑰派生和分發(fā) 第1步 AS通過Radius協(xié)議將MK發(fā)送給AP 一般先轉(zhuǎn)換成RadiusKey后再分發(fā) 第2步 使用MK 或PSK 作為PMK 通過EAPOL Key消息完成PTK GTK的派生和分發(fā) 第3步 多播臨時密鑰GTK更新 WPA WPA2 802 11i操作流程 階段三 PairwiseKeyHierarchy PMK生成臨時密鑰 PTK用于點播包的加密 PTK可周期性更新 對于802 1x鑒權(quán) STA與AS協(xié)商生成的MK MasterKey 即作為PMK 對于PSK鑒權(quán) PMK PSK PBKDF2 PassPhrase ssid ssidLength 4096 256 WPA WPA2 802 11i操作流程 階段三 GroupKeyHierarchy GMK由AP隨機(jī)生成 通過GMK 周期性 生成GTK GTK用于多播包的加密和完整性檢查 GTK可周期性更新 僅AP STA需要使用多播 STA到AP的均為點播包 WAPI WAPI WirelessAuthentictionandPrivacyInfrastructure 定義了WLAN中的安全架構(gòu)和加密算法 中國的WLAN安全標(biāo)準(zhǔn) 相當(dāng)于IEEE802 11i協(xié)議 由于美國的抵制 WAPI最終沒有成為IEEE802 11國際標(biāo)準(zhǔn) 各國的安全標(biāo)準(zhǔn) 美國加密標(biāo)準(zhǔn)是AES 中國WLAN安全標(biāo)準(zhǔn)是WAPI 歐洲安全標(biāo)準(zhǔn)是NESSIE 目前WLAN和有線網(wǎng)絡(luò)上普遍使用的是AES WAPI安全架構(gòu) 由WAI 接入鑒權(quán) 和WPI 通信加密 組成 三元結(jié)構(gòu)雙向鑒權(quán) 分終端 STA 接入點 AP 鑒權(quán)服務(wù)器 ASE 終端和AP都采用證書方式互相鑒權(quán) 鑒權(quán)在中心服務(wù)器ASE上完成 密鑰管理流程 鑒權(quán)通過后 STA與AP之間通過協(xié)商確定通信密鑰 加密算法 鑒權(quán)和密鑰協(xié)商過程采用了非對稱的ECC加密算法 報文加密采用了對稱的SMS4塊加密算法 這些高強(qiáng)度算法確保無線網(wǎng)絡(luò)的安全性 WAPI WAPI WAPI產(chǎn)業(yè)聯(lián)盟 主要由國內(nèi)的運(yùn)營商 設(shè)備商和芯片廠商組成 致力于推動WAPI技術(shù)標(biāo)準(zhǔn)的產(chǎn)業(yè)化 目前成員達(dá)到48家 推出WAPI產(chǎn)品近100款 詳情參見www wapia org WAPI已經(jīng)錯過成為國際標(biāo)準(zhǔn)的時機(jī)802 11i已經(jīng)無可替代 802 11i作為國際標(biāo)準(zhǔn) 得到廣泛應(yīng)用和持續(xù)發(fā)展 Wi Fi聯(lián)盟的實力強(qiáng)大 相比WAPI產(chǎn)業(yè)聯(lián)盟 成員300 48 認(rèn)證產(chǎn)品4000 100 WAPI的技術(shù)優(yōu)勢已不明顯 不再是與WEP WPA比較了 而是WPA2比較 國內(nèi)WAPI WPA雙模應(yīng)用的成功機(jī)會尚存中國政府的大力支持 自主創(chuàng)新的大環(huán)境需要 信息安全的需要 WAPI具有技術(shù)先進(jìn)性 WAPI為中國獲得的唯一ISO IEC以太類字段0 x88B4 IANA將3810端口作為WAPI專用的TCP IP字段 國際標(biāo)準(zhǔn)競爭中受到不公正待遇曲折落敗 中國WLAN運(yùn)營商市場加速啟動 這將造就世界上最大的WLAN市場 4大運(yùn)營商都是WAPI聯(lián)盟的成員 其中中國移動和中國電信的WLAN設(shè)備規(guī)范都將WAPI作為必須支持的功能 國際Wi Fi大廠商開始支持WAPI 由于看好中國巨大的市場 Atheros ST Intel TI Broadcom均明確宣布將支持WAPI 包括硬件方案和軟件方案 交流提綱 WLAN協(xié)議介紹協(xié)議框架PHY層PHY層管理MAC層MAC層管理 協(xié)議框架 802 11協(xié)議定義了物理層和數(shù)據(jù)鏈路層的MAC子層 物理層 802 11定義了6種物理層 每一種都有各自的PMD PLCP和PLME協(xié)議 其中最重要的有HR DSSS 802 11b ERP 802 11g 和OFDM 802 11a MAC MediumAccessControl 媒介接入控制層 提供標(biāo)準(zhǔn)的MAC服務(wù) 層管理 LayerManagementEntity 提供物理層和MAC層的層管理服務(wù)接口 PMD子層 PLCP子層 MAC子層 層管理 物理層 LLC 數(shù)據(jù)鏈路層 PHY層 802 11b物理層 HR DSSS 頻段 2 4GISM頻段 頻寬為22MHz 編碼調(diào)制 采用DSSS CCK調(diào)制編碼 速率 1Mbps 2Mbps 5 5Mbps 11Mbps PHY層 802 11g物理層 ERP 頻段 2 4GISM頻段 頻寬為20 10 5MHz 編碼調(diào)制 支持5種方式 其中ERP DSSS用于1Mbps和2Mbps ERP CCK用于5 5Mbps和11Mbps ERP OFDM用于6 9 12 18 24 48 54Mbps速率 前向兼容 兼容802 11b PHY層 802 11g物理層 OFDM 頻段 5 8G頻段 頻寬為20 10 5MHz 編碼調(diào)制 OFDM 調(diào)制方式有BPSK QPSK 16 QAM 64 QAM 支持速率 6 9 12 18 24 48 54Mbps PHY層 2 4GHz信道 PHY層 5 8GHz信道 PHY層管理 物理層的層管理 主要獲取和設(shè)置物理層的參數(shù) 物理層操作參數(shù) 包括物理層類型 支持的規(guī)則區(qū)域列表 當(dāng)前規(guī)則區(qū)域 天線參數(shù) 發(fā)送天線選擇 接收天線選擇 接收分集 發(fā)射功率參數(shù) 各功率等級 當(dāng)前發(fā)射功率等級 信道 當(dāng)前工作信道 速率 支持的接收速率表 支持的發(fā)送速率表 調(diào)制方法 支持的調(diào)制方法 MAC層 MAC層功能 使用物理層的服務(wù)為上層提供類似以太網(wǎng)的MAC功能 并針對無線的特點進(jìn)行了修改 支持?jǐn)?shù)據(jù)加密 因為無線環(huán)境比有線環(huán)境更容易被偷聽和攻擊 支持MAC層的確認(rèn) 因為無線鏈路可靠性遠(yuǎn)遠(yuǎn)低于以太網(wǎng) MAC層重傳比上層重傳效率高 CSMA CA 無線網(wǎng)絡(luò)無法使用CSMA CD 因為無法同時收發(fā) 且無線媒介的沖突檢測很容易遺漏 沖突退避機(jī)制通過隨機(jī)的退避窗口可將沖突概率將到最低 QoS 支持類似802 1D的QoS機(jī)制 8個用戶優(yōu)先級 排序功能 因為存在重傳和優(yōu)先級隊列 需要接收端進(jìn)行排序來保證MAC層的按序傳遞特性 管理和控制 增加了大量的MAC層管理和控制功能 AP MAC層 MAC幀 MAC幀 MPDU 包括數(shù)據(jù)幀 控制幀和管理幀 數(shù)據(jù)幀 為上層協(xié)議收發(fā)的MAC幀 圖中黑色所示 控制幀 MAC層之間為了控制功能收發(fā)的幀 圖中藍(lán)色所示 管理幀 MAC層管理實體之間交換的幀 圖中紅色所示 PHY MAC層管理 MLME MAC PHY層管理 PLME UpperLayer STA UpperLayer MAC層管理 MLME PHY層管理 PLME PHY MAC MAC層 MAC數(shù)據(jù)幀 分QoS幀和非QoS幀 QoS幀中包括QoSControl字段 地址格式包括3地址格式和4地址格式 MAC層 MAC控制幀 因為控制幀是兩個STA之間的協(xié)議交互幀 所以均為1地址格式和2地址格式 其中廣播性質(zhì)的控制幀為1地址格式 MAC層 MAC管理幀 用于完成鑒權(quán)和關(guān)聯(lián)操作 都是3地址格式 MAC層 DCF PCF HCF DCF 基本的媒介協(xié)調(diào)控制功能 即CSMA CA PCF 可選功能 只適合于AP架構(gòu) 由AP擔(dān)當(dāng)裁決 將媒介slot進(jìn)行分配 HCF 支持EDCA和HCCA 分別用于基于競爭的媒介分配和收控的媒介分配 MAC層 DCF DistributedCoordinationFunction 即CSMA CA 其核心是 先聽后說 和 隨機(jī)退避 機(jī)制 媒介空閑 PHY層檢測到媒介持續(xù)DIFS沒有使用 則認(rèn)為媒介進(jìn)入空閑狀態(tài) 隨機(jī)退避 檢測到媒介處于空閑狀態(tài) 如果需要競爭媒介 則在競爭窗口CW內(nèi)隨機(jī)選擇一個退避時間 n個slot單位 競爭成功 只有媒介空閑時退避計數(shù)才遞減 遞減到0時即獲得媒介訪問權(quán) MAC層 DCF中的隨機(jī)回退示例 MAC層 DCF在MAC重傳時 競爭窗口CW隨重傳次數(shù)指數(shù)遞增 競爭優(yōu)先級降低 以保證高負(fù)荷情況下性能穩(wěn)定性 MAC層 DCF中的